Go to Top

Wie kann man einen Ransomware Angriff vermeiden?

Laut dem neuesten McAfee-Bericht zu aktuellen Bedrohungen nahmen die Ransomware-Angriffe im ersten Quartal 2019 um 118 Prozent zu. Es war nicht nur ein signifikanter Anstieg an Angriffen zu verzeichnen, sondern es tauchten auch ganz neue Arten von Ransomware auf.

Neue Arten von Ransomware

Cyberkriminelle entwickeln immer neuere und innovativere Methoden, um Unternehmen anzugreifen und zu infizieren. Von vielen Angreifern werden nach wie vor gerne die Methoden des Spear Phishing genutzt. Die Forscher von McAfee sagten jedoch: „Immer mehr Angreifer verschaffen sich Zugriff auf Unternehmen, die über offene und ungeschützte Remotezugangspunkte wie RDP (Remote Desktop Protocol) und VNC (Virtual Network Computing) verfügen.“ Oft können Hacker auf diese Anmeldeinformationen zugreifen, da die Unternehmen RDP-Client-Ports nicht selten für das Internet geöffnet lassen. Und so ist es ein Leichtes, IP-Adressblöcke nach offenen RDP-Ports zu durchsuchen. Die Angreifer versuchen dann, die Anmeldung bzw. das Kennwort für den Remotedesktop nach dem Brute-Force-Schema zu erzwingen. Hacker können RDP-Anmeldeinformationen auch über illegale Märkte oder geleakte Kennwörter erlangen.

Anatova

Eine Neuentdeckung im Jahre 2019 war die Ransomware Anatova. Diese neue Ransomware-Familie tarnt sich als Symbol eines Spiels oder einer Anwendung, um den Benutzer zu einem Download zu verleiten. Hierbei handelt sich um eine extrem fortschrittliche Form von Malware, die sich schnell anpasst und bestimmte Ausweich- und Verbreitungstechniken nutzt, um ihre Entdeckung zu verhindern. Aufgrund ihres modularen Aufbaus kann sie zusätzliche Funktionen integrieren, die es ihr ermöglichen, Versuche der Ransomware-Erkennung zu vereiteln. Glücklicherweise wurde diese neue Ransomware vom McAfee Advanced Threat Research-Team bereits Anfang 2019 entdeckt, bevor sie zu einer großen Bedrohung werden konnte.

Dharma

Dharma ist eine Variante von CrySiS und treibt schon seit 2018 ihr Unwesen. Dennoch werden von Cyberkriminellen immer wieder neue Varianten entwickelt, die sich nicht entschlüsseln lassen.

GandCrab

Dies ist eine schädliche Ransomware, die AES-Verschlüsselung nutzt und eine Datei namens „GandCrab.exe“ im System ablegt. GandCrab richtet sich an Verbraucher und Unternehmen mit PCs, auf denen Microsoft Windows ausgeführt wird. Am 31. Mai 2019 versendeten die Cyberkriminellen, die hinter GandCrab steckten, die Bekanntmachung, alle weiteren GandCrab-Angriffe zu stoppen, da sie inzwischen Lösegeld in Höhe von über 2 Milliarden US-Dollar erhalten hätten und sich nun in den „wohl verdienten Ruhestand“ zurückziehen würden.

Ryuk

Ryuk zielt speziell auf große Unternehmen ab, um so eine hohe finanzielle Rendite zu erzielen. Gemäß CrowdStrike erzielte Ryuk von August 2018 bis Januar 2019 in 52 Transaktionen über 705,80 Bitcoins mit einem Gesamtwert von 3.701.893,98 US-Dollar. Zum ersten Mal erregte sie mit ihrem Angriff auf den Betrieb des Tribune-Verlags an Weihnachten 2018 Aufsehen. Zunächst glaubte das Unternehmen, der Angriff sei nur ein Serverausfall, aber bald war klar, dass es sich um die Ryuk-Ransomware handelte.

Ransomware wie Ryuk, die es auf große Unternehmen abgesehen hat, um eine hohe Rendite zu erzielen, wird auch als „Big Game Hunting“ bezeichnet. Diese groß angelegten Angriffe erfordern eine detaillierte Anpassung der Kampagnen an die individuellen Ziele, was die Wirksamkeit der Angriffe erhöht. „Big Game Hunting“ bedeutet für den Hacker folglich viel mehr Arbeit. Diese Art von Angriff wird normalerweise in Phasen ausgeführt. Die erste Phase kann beispielsweise ein Phishing-Angriff sein, der darauf abzielt, ein Unternehmensnetzwerk mit Malware zu infizieren, um sich einen Überblick über das System zu verschaffen und wichtige Ressourcen als Ziel zu identifizieren. Die Phasen 2 und 3 erfolgen dann in einer Reihe von Erpressungs- und Lösegeldangriffen/-forderungen.

Emotet

Emotet war ursprünglich eine Malware, die auf Banken abzielte. Sie dringt in den Computer ein und stiehlt vertrauliche und private Informationen. Emotet erschien 2014 zum ersten Mal auf der Bildfläche und hat seither eine Vielzahl von Versionen durchlaufen. Inzwischen hat sich Emotet zu einer Ransomware entwickelt, die selbst von einigen Anti-Malware-Produkten nicht erkannt wird. Seit ihren Anfängen hat Emotet Banking-Anmeldedaten, Finanzinformationen und Bitcoin-Wallets von Privatpersonen, Unternehmen und staatlichen Stellen in ganz Europa und den USA gestohlen.

Hacker nutzen wurmähnliche Fähigkeiten, um sich auf anderen Computern zu verbreiten. In der Regel führen sie Emotet per Spam-E-Mail ein. Diese werden so erstellt, dass sie legitim aussehen und mit verlockenden Angeboten das Opfer dazu bringen, auf den Link zu klicken.

Emotet ist eine der kostenintensivsten und zerstörerischsten Malware. Laut dem Department of Homeland Security belaufen sich die Kosten für die Bereinigung eines durchschnittlichen Emotet-Angriffs auf über 1 Million US-Dollar.

Wie Sie eine Infizierung mit Ransomware verhindern

Beim Kampf gegen Ransomware gibt es viele Dinge zu beachten. Angesichts so vieler unterschiedlicher Arten von Malware sollten Sie die folgenden drei Tipps beachten und entsprechend handeln.

1.     E-Mail-Sicherheit ist das A und O

Laut McAfee ist Spam-E-Mail nach wie vor einer der Haupteintrittswege von Ransomware-Viren, insbesondere bei gezielten Angriffen. Daher ist es für alle, die ein Netzwerk betreiben oder eine Verbindung zum Internet herstellen, unerlässlich, diese wichtigste Schwachstelle zu schützen.

Meistens wird ein Ransomware-Angriff dadurch ausgelöst, indem der Benutzer eine – scheinbar – normale E-Mail öffnet, die den Virus in einem Dokument, Foto, Video oder einer anderen Art von Datei enthält. Die meisten Hacker brauchen heutzutage gar nicht viel Kenntnisse, um Malware-Code in eine Datei einzufügen. Es gibt zahlreiche Artikel und YouTube-Tutorials mit schrittweisen Anleitungen dazu.

Deshalb sollten Sie stets vermeiden, eine E-Mail von einem unbekannten Absender zu öffnen. Wenn Sie eine E-Mail von einer unbekannten Quelle erhalten, informieren Sie unverzüglich Ihren Datenschutzbeauftragten oder Ihr IT-Team.

Denken Sie daran: Es ist immer die richtige Entscheidung, die IT-Systeme und Daten Ihres Unternehmens zu schützen.

2.    Machen Sie Ihr Netzwerk und Ihre IT-Umgebung sicher

Ransomware, die einen einzelnen Computer infiziert, ist zweifellos ein ernstes Problem. Wenn sie sich jedoch über das gesamte Netzwerk ausbreitet, kann sie nicht nur zu einem Albtraum für die IT-Abteilung werden, sondern auch das gesamte Unternehmen gefährden.

Unternehmen, die dies noch nicht getan haben, sollten in Erwägung ziehen, eine Datensicherheitssoftware zu implementieren, die alle eingehenden E-Mails überprüft, bevor der beabsichtigte Empfänger sie erhält. Durch eine solche Lösung wird das Risiko, dass sich ein Virus in einem Unternehmensnetzwerk ausbreitet, drastisch verringert. Darüber hinaus sollten IT-Administratoren und -Management erwägen, Netzwerksicherheitssoftware zu installieren, die das Netzwerk und dessen Dateien automatisch auf Bedrohungen überwacht. Die Lösung warnt Administratoren auch, wenn bei einem Ransomware-Angriff versucht wird, große Mengen von Dateien über das Netzwerk zu verschlüsseln.

Last but not least: Aktualisieren Sie Ihre Software und Betriebssysteme immer mit den neuesten Patches, sobald diese verfügbar sind. Wie so oft schon erwähnt, sind Hacker mit ihren Angriffen nur dann erfolgreich, wenn das Opfer Lücken in seiner IT Security aufweist.

3.    Schulen Sie Ihre Mitarbeiter

Selbst erfahrene Benutzer geraten in Panik, wenn sie feststellen, dass sie gerade Opfer eines Ransomware-Angriffs werden. Deshalb sollte jeder Mitarbeiter in einem Unternehmen genau wissen, was bei einem Ransomware-Angriff zu tun ist. Dies gilt auch für hochrangige Führungskräfte und IT-Verantwortliche.

Ein Ransomware-Angriff sollte nicht nur Teil eines Geschäftskontinuitätsplans für höhere Führungskräfte oder IT-Experten sein, sondern es sollten in jedem Büro genaue, verständliche Tipps zur Vorgehensweise bei einem Angriff sichtbar angebracht werden. Diese Tipps können einfach, aber effektiv sein, zum Beispiel:

  • Trennen Sie die Verbindung zum Internet und zum internen Netzwerk.
  • Versuchen Sie, das Gerät ordnungsgemäß herunterzufahren, oder rufen Sie sofort die IT-Sicherheit/IT-Administration an.

Mitarbeiter der IT-Sicherheit und -Administration sollten sich kontinuierlich über die neuesten Entwicklungen im Bereich Cybersicherheit und Hacking informieren. So sollte es für diese Mitarbeiter ein absolutes Muss sein, die neuesten Blog-Nachrichten zu lesen oder sich über die neuesten Entwicklungen in dieser Szene und Lücken in Netzwerk- oder Softwarelösungen zu informieren.

Was sollten Sie tun, wenn Sie von Ransomware betroffen sind?

Wenn Ransomware aus dem einen oder anderen Grund Ihren Firewall durchdringt, sollten Sie Folgendes tun:

  • Zahlen Sie niemals das Lösegeld! Die Kriminellen zu bezahlen, ist keine Garantie dafür, dass Sie Ihre Daten zurückerhalten. In vielen Fällen (und auf jeden Fall, wenn es sich um „Ranscam“- oder Wiper-Malware handelt) erhalten Sie Ihre Daten sowieso nicht zurück, sodass Sie nicht nur die Daten verlieren, sondern auch jede Menge Geld!
  • Versuchen Sie nicht, die Daten selbst zu entschlüsseln. Einige Computerspezialisten sind möglicherweise in der Lage, verlorene Daten wiederherzustellen. Dies ist jedoch riskant. Wenn etwas schiefgeht, könnten Ihre Daten für immer zerstört sein.

Datenwiederherstellung nach Ransomware

Aus der Perspektive eines Datenwiederherstellungsspezialisten  ist jeder Ransomware-Fall anders. So gibt es nicht nur einen großen Unterschied, wie Ransomware-Varianten die Daten verschlüsseln und im Netzwerk verbreiten, sondern auch, wie sie auf verschiedene Bereiche der Datenspeichersysteme abzielen.

Einige Systeme und Datenstrukturen sind anspruchsvoller und benötigen mehr Zeit zur Wiederherstellung als andere. Da jeder Fall anders ist, ist es sinnvoll, sich an einen Spezialisten zu wenden und ihn zu fragen, ob er Ihre Art von Ransomware schon einmal gesehen hat. Er kann Ihnen sagen, ob sich der Versuch lohnt, die Daten wiederherzustellen, und ob er in ähnlichen Fällen bereits erfolgreich war.

Die Angriffe der letzten Jahre zeigen, dass Ransomware nach wie vor eine ernsthafte Bedrohung für Privatpersonen und Unternehmen darstellt. Es lohnt sich daher, Ihre Datensicherheit, Netzwerkrichtlinien, Benutzerschulungen und Sicherungsverfahren erneut zu überprüfen.

Was Backups anbelangt, so empfehlen wir, Sicherungskopien Ihrer geschäftskritischen Daten auf externen Speichergeräten zu speichern, die nicht mit Ihrem Netzwerk verbunden sind, wie z. B.  .

Wenn Ihre Sicherungen nicht funktionieren oder von Ransomware betroffen sind, wenden Sie sich am besten an einen professionellen Anbieter von Datenwiederherstellungsservices. Dieser kann dann versuchen, Ihre Daten von den problematischen Sicherungsmedien wiederherzustellen oder die Ransomware zu umgehen, um auf die Daten zuzugreifen.